Pozdrav prijatelji!. Samba omogućuje nam ujedinjenje Debian do a Microsoftova domena na dva različita načina koja u osnovi ovise o tome kako izjavljujemo opciju sigurnosti u arhivu smb.conf.
Sigurnost = Domena
Stroj se mora pridružiti domeni pomoću naredbe neto rpc pridruži. Parametar šifriranje lozinki u arhivu smb.conf, mora biti postavljeno na istinski o Da, što je njegova zadana vrijednost.
Samba provjerit će vjerodajnice za korisnika i lozinku prosljeđujući ih Upravitelju domene točno onako kako bi to učinili upravljaču tipa NT 4.
Sigurnost = Domena je način na koji ćemo se razvijati u ovom članku.
Sigurnost = OGLASI: U ovom načinu rada Samba djelovat će kao član domene u Kraljevstvu (carstvo) aktivnog direktorija. Za to je potrebno da Debianov stroj ima instaliran i konfiguriran klijent Kerberosi da je pomoću naredbe pridružen Active Directoryu neto oglasi se pridruže.
Ovaj način NE omogućuje da Samba radi kao kontroler domene Active Directory.
Vidjet ćemo:
- Uzorak glavnih parametara mreže
- Minimalni zahtjevi u kontroleru domene
- Minimalni zahtjevi za Debian stroj
- Instaliramo potrebne pakete i konfiguriramo
- Pridružujemo se Debianu domeni i vršimo potrebne provjere
- Dopuštamo prijavu korisnika domene u naš Debian
- Savjeti kada radimo na stolnim računalima
Uzorak glavnih parametara mreže
- Kontroler domene: Windows 2003 Server SP2 Enterprise Edition.
- Naziv kontrolera:w2003
- Naziv domene: prijatelji.cu
- IP kontrolera: 10.10.10.30
- ---------------
- Verzija Debiana: Stisni (6.0.7) [: - $ cat / etc / debian_version]
- Naziv tima: miskeeze
- IP adresa: 10.10.10.15
- Verzija Sambe: 2: 3.5.6 ~ dfsg-3squeeze9
- Winbind inačica: 2: 3.5.6 ~ dfsg-3squeeze9
- GNOME radno okruženje s GDM3
- ---------------
- Verzija Debiana: Wheezy 7.0
- Naziv tima: miwheezy
- IP adresa: 10.10.10.20
- Verzija Sambe: 2: 3.6.6-6
- Winbind inačica: 2: 3.6.6-6
- Xfce4 radno okruženje s GDM3
Minimalni zahtjevi u kontroleru domene
Metoda opisana u ovom članku isprva je testirana na kontroleru domene konfiguriranom iz "ClearOS Enterprise 5.2 SP-1" na CentOS-u i sve je radilo ispravno. Nepotrebno je reći da je to Slobodni softver.
Pozvat ćemo se na kontrolora domene Microsoft Windows Server 2003 SP2 Enterprise Edition, koji se koristi u mnogim kubanskim tvrtkama. Žao mi je što nemam instalacijski disk verzije poslužitelj 2008 ili napredniji. Opraštaju mi engleski, ali jedini instalacijski program koji imam je taj jezik.
Molimo vas i pročitajte članak Samba:SmbClient objavljene na istoj web stranici tako da imaju predodžbu o korisnicima stvorenim u Kontroleru domene.
Ako za naš Debian koristimo fiksnu IP adresu, morali smo proglasiti "A" zapis i njegov odgovarajući zapis u Reverznoj zoni u DNS-u Upravitelja domene.
Uvijek se preporučuje kada radimo na mreži s Linux i Windows računalima, omogućimo WINS uslugu (Windows Internet Service Name) po mogućnosti u kontroloru domene.
Minimalni zahtjevi za Debian stroj
Datoteka / Etc / resolv.conf treba imati sljedeći sadržaj:
traži prijatelje.cu poslužitelj imena 10.10.10.30
Izvršavamo:
$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu ima adresu 10.10.10.30 $ dig -x 10.10.10.30 [----] ;; ODJELJAK ODGOVORA: 30.10.10.10.in-addr.arpa. 1200 U PTR w2003.amigos.cu. [----]
Instaliramo potrebne pakete i konfiguriramo
# aptitude instaliraj samba winbind smbclient prst
Tijekom instalacije paketa samba, od nas će se tražiti ime Radne skupine, što je u našem primjeru PRIJATELJI.
Spremamo izvornu datoteku smb.conf a zatim ga ispraznimo:
# cp /etc/samba/smb.conf /etc/samba/smb.conf.original # cp / dev / null /etc/samba/smb.conf
Uređujemo datoteku smb.conf i ostavljamo ga sa sljedećim sadržajem:
[globalno] ### Mrežni preglednik - ID ### radna grupa = PRIJATELJI niz poslužitelja =% h poslužitelj pobjeđuje server = 10.10.10.30 dns proxy = ne ### Mrežna veza ### sučelja = 127.0.0.0/8 eth0 vezati samo sučelja = da hostovi dopuštaju = 10.10.10.0/255.255.255.0 ### Otklanjanje pogrešaka ### log file = /var/log/samba/log.%m max veličina dnevnika = 1000 syslog = 0 panic action = / usr / share / samba / panic-action% d ### OVLAŠTENJE ### sigurnost = domena šifriraj lozinke = da lokalni master = nema master master = nema preferiranog master = ne ### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000 predložak ljuske = / bin / bash winbind koristi zadanu domenu = Da winbind rpc samo = da winbind offline prijava = da ### Razno ### nevaljani korisnici = root predložak homedir = / home /% D /% U dijeljenja registra = Ne # unix charset = ISO-8859-1 # display charset = ISO-8859 -1
Provjeravamo osnovnu sintaksu datoteke smb.conf:
#testparm
Uređujemo datoteku /etc/nsswitch.conf i mijenjamo sljedeće retke:
[----] passwd: winbind datoteke skupina: winbind datoteke shadow: compat domaćini: datoteke dns pobjeđuje [----]
Pridružujemo se Debianu domeni i vršimo provjere
# servis winbind stop # servis samba restart # servis winbind start # net rpc join -U Administrator # servis winbind stop # servis samba restart # servis winbind start # net rpc testjoin -U Administrator # net rpc info -U Administrator # wbinfo -u # wbinfo -g # trancos prsta # getent passwd trancos # getent grupa "Korisnici domene"
Naravno, Račun stroja bit će ispravno kreiran u Upravitelju domene.
Do sada smo vidjeli da možemo dobiti točne podatke o domeni, kao i o njezinim korisnicima.
U kasnijim člancima naučit ćemo kako dijeliti resurse kako bi ih mogli koristiti korisnici registrirani u domeni, odnosno možemo posluživati datoteke za korisnike Microsoftove domene, i s radne stanice i s namjenskog poslužitelja.
Dopuštamo prijavu korisnika domene u naš Debian
Kada instaliramo paket winbind, Debian automatski konfigurira Pluggable Authentication Module ili Priključni moduli za provjeru autentičnosti PAM.
Međutim, ako pokušamo pokrenuti sesiju kao Korisnik domene, bilo putem SSH-a ili grafičke sesije, primit ćemo poruku "Neuspjeh autentifikacije".
To je zato što datoteke PAM modula, točnije zajedničko-aut generirana je uključujući provjeru autentičnosti putem Kerberosa, koja se NE koristi kada je izjavimo sigurnost = domena u arhivu smb.conf.
Da bismo mogli započeti sesiju putem SSH-a ili grafički, moramo ručno izmijeniti datoteke:
- /etc/pam.d/common-auth
- /etc/pam.d/common-session
/etc/pam.d/common-auth
Uklanjamo iz retka koji se odnosi na pam_winbind.tako, parametri vezani za krb5. Taj bi dio izgledao ovako:
[----] # ovdje su moduli po paketu (blok "Primarni") auth [uspjeh = 2 zadani = zanemari] pam_unix.so nullok_secure auth [uspjeh = 1 zadani = zanemari] pam_winbind.pa cached_login try_first_pass [----]
/etc/pam.d/common-session
[----] potrebna sesija pam_mkhomedir.so skel = / etc / skel / umask = 0022 ### Gornji redak mora biti PRIJE # ovdje su moduli po paketu (blok "Primarni") [----]
Ponovno pokrećemo uključene usluge
# servis winbind stop # ervice samba restart # servis winbind start # servis ssh restart
Gore navedene izmjene PAM konfiguracijskih datoteka omogućit će korisnicima Domene pokretanje SSH sesije ili lokalno na našoj Debian radnoj stanici.
Kućni direktoriji svakog korisnika također će se stvoriti kad se prvi put prijave. Osobne mape ili direktoriji bit će stvoreni u / home / DOMEN / domena-korisnik.
Ako postoje poteškoće u grafičkoj prijavi, preporučujemo ponovno pokretanje upravitelja grafičke prijave (gdm3, kdmitd.), a ako nije dovoljno, ponovo pokrenite radnu stanicu.
Da bismo ograničili ili ograničili pristup putem SSH-a našem Debianu, moramo urediti datoteku / Etc / ssh / sshd_config i dodajte na kraju:
AllowUsers myuser-local koraci koraka korijen
U našem primjeru, koraka je korisnik domene kojemu želimo omogućiti prijavu putem SSH-a, dok Xeon je lokalni korisnik.
Također možemo uključiti u datoteku / etc / sudoers pomoću naredbe visado, jednom ili više korisnika Domene.
[----] # Specifikacija korisničkih privilegija root ALL = (ALL) ALL xeon ALL = (ALL) ALL koraci ALL = (ALL) ALL [----]
Savjeti kada radimo na stolnim računalima
U slučaju da želimo raditi na radnoj površini ili radnoj stanici s grafičkom prijavom i grafičkim okruženjem, korisnike domene koji će se lokalno prijaviti moramo učiniti članovima barem sljedećih grupa: cdrom, disketa, audio, video y plugdev. Ako koristimo modem za povezivanje s vanjskom mrežom, moramo ih također učiniti članovima grupe umočiti.
U slučaju Squeeze, ako želimo eliminirati popis korisnika na početku grafičke sesije, u slučaju gdm3, uređujemo datoteku /etc/gdm3/greeter.gconf-defaultsi pokomentirajte opciju / apps / gdm / simple-greeter / disable_user_list, a njegovu vrijednost mijenjamo u istinski.
Nadamo se da ne vide ono što je objašnjeno komplicirano ili dijabolično. Uvijek imajte na umu kada koristite Samba Suite na Linuxu, mi praktički oponašamo gotovo sve funkcije sustava Windows u vezi sa SMB / CIFS mrežama ... i malo više. Microsoft pruža "Sigurnost" u zamjenu za Darkness. Linux sa svoje strane, iako se u početku čini pomalo kompliciranim, pruža sigurnost, transparentnost i slobodu.
Što se tu ima za pročitati? Trud se isplati!
A aktivnost je za danas završena, prijatelji. Do sljedeće avanture !!!.
Primijetiti: Testirali smo postupak opisan u tri razine funkcionalnosti Microsoftove domene, odnosno Mixed, Native 2000 i Native 2003.
Vrlo dobar post, čestitam vam prijatelju, jedno pitanje na kojem biste mogli postaviti post o tome kako napraviti poslužitelj domene sa samba4, jest da sumnjam i dio, nikada nisam napravio pdc sa sambom i kažu da ne znam da se samba4 puno poboljšao, pozdrav
Hvala SVIMA na komentaru !!!.
@Erick: započnite jednostavno. Instalirajte ClearOS ili nešto slično poput PDC-a. Pomogao sam ga instalirati i konfigurirati u 3 male tvrtke. Najveća s 50 timova, a rade jako dobro. Administracija je vrlo jednostavna.
@ Isus Isus Izrael Perales Martinez: Nije potrebno instalirati Sambu. Sada, ako pod "normalnom datotečnom mrežom" mislite na SMB / CIFS mrežu, tada se preporučuje.
@denis: Hvala na riječima zahvale i ohrabrenja.
@DanielC: Izgleda da ste ih uhvatili "iz ruku". 🙂
Pitanje koriste li svi moji računali GNU-ove da li je potrebno da koristim sambu za dijeljenje datoteka ili to mogu učiniti s nfs-om, ako je tako, možete li napraviti tutorial za dijeljenje datoteka pomoću nfs-a, znam da sve mogu preuzeti ssh-om i poslati datoteke ftp-om , također za web klijente i druge, ali želio bih postaviti mrežu "normalne datoteke"
Pozdrav prijatelju, prije svega htio sam ti zahvaliti za sve što svakodnevno radiš sa svojom spremnošću da pomogneš drugima čak i kad ih jedva poznaješ.
Vrlo dobri svi vaši članci, zaista vam kažem da sam zahvaljujući njima formirao gotovo sysadmina, iako znam da me čeka još dug put.
Upravo sam čitao ovu temu na RSS feedu i dobio sam ažuriranja o sambi.
Pa onda ne kažu da Ubuntu ne špijunira! : B
ROFL!
Ubuntu ne špijunira, Amazon to čini.
Evo recepta koji sam izradio za Debian u području ADS-a https://wiki.debian.org/SAMBAclienteWindows
Uz parametar sigurnost = oglasi, postoji mnogo postova na webu. Međutim, sljedeći će se članak baviti tom istom temom.
Zaista ću morati pogledati čovjeka Sambu da bih mogao dijeliti mape za LAN s Windowsom.
PS: Debianov tim Mozilla već je napokon objavio Iceweasel 24.
Pozdrav, koliko su dobre informacije koje ste ovdje podijelili, počinjem probnu migraciju s debian poslužiteljem kao što je datoteka i ispis, ali trebam korisnike koji imaju Windows 7 i XP da se autentificiraju s domenom (Windows 2000) koju sam posjetio gledam a nisam vidio ...
hvala
Pozdrav, mislim da je problem Debiana i njegovih izvedenica u tome što oni ne znaju ili ne znaju i ne žele to učiniti kako bi olakšali stvari običnom korisniku. Korisnik sam Openuse verzije i tako je jednostavno konfigurirati kućnu ili uredsku mrežu. S računalima na kojima je instalirana opensuse i Windows xp-7, oni dijele datoteke i pisače. Sav ovaj zadatak obavlja se s Yastom, to jest bez ulaska u terminal i sve ovo potrebno pisati. Pravo ludilo u Debianu. S debianom Wheezyjem nakon tjedan dana pisanja koda nisam mogao ispisivati na zajednički pisač na Windows XP računalu. Uz opensuse s 4 koraka ime računala koje dijeli pisač (xp), naziv zajedničkog pisača (xp), korisničko ime i lozinka. I to je to, da biste dijelili bijedan pisač i neke kućne datoteke, ne morate biti guru koda. O CUPS-ima da i ne govorimo. cupsd, itd. Učinite nešto uobičajeno za korisnika.
Čvrsto se slažem s vama. Debian je poznat po tome što otežava stvari u radnom okruženju. A na strani usluga, OpenSuse i CentOS znatno olakšavaju život administratorima usluga. Međutim, navikao sam na Debian, i to je onaj koji mi je draži. 🙂
Hvala na komentaru !!!.
Uvijek morate obavljati transakcije. Debian ima visoku kvalitetu na štetu ostalih značajki. Potrebno je dobro korištenje vremena i Debian ga posvećuje svom proizvodu razmišljajući više o njegovoj implementaciji na poslužiteljima. Ljudi koji upravljaju poslužiteljima nemaju iste potrebe kao druge vrste korisnika.
Isprobao sam druge distribucije i samo Arch ima istu stabilnost. Ostalo je visoko automatizirano; ali stvara mnogo problema kada je u pitanju njegova upotreba za poslužitelje.
To je moje osobno mišljenje i vrlo je subjektivno.
Vrlo dobre informacije, puno vam hvala. Postoji li pošta o najučinkovitijem načinu za automatsko stvaranje sigurnosne kopije s Linux poslužitelja koji pristupa Windows računalima pod domenom? Hvala
Ako isprobate Rsync, to je višestruka platforma
Dobar dan, imao sam pogrešku prilikom provjere # net rpc join -U Administrator i riješio sam je dodavanjem
u /etc/samba/smb.conf carstvo = vaša domena.local